2015年HIRT活動報告

HIRT: Annual Report 2015

2015 年 HIRT 活動報告

HIRT: Annual Report 2015

Hitachi Incident Response Team (HIRT) http://www.hitachi.co.jp/hirt/

〒140-0013 東京都品川区南大井 6-26-3 大森ベルポート D 館

OMORI BELLPORT Tower D, 6-26-3 Minamioi, Shinagawa, Tokyo, Japan 140-0013

1

はじめに

影響の大きなインシデントが発生すると，対策ア プローチにも大きな変化が見られる．2006 年に発生 したファイル共有ソフトによる情報漏えいは端末の Thin クライアント化，2011 年の防衛産業企業他への 標的型攻撃は出口対策の導入，そして，2015 年の同 種のサイバー攻撃の多発は安全が確認できるまで止 めるというリスク減算型対策の再認識である (図 1)．ここで安全が確認できるまで止めるというアプ ローチの意図するところは，潜在的な脅威残存期間 とサービス停止時間を短くすることにある (図 2)． 言い換えれば，攻撃者のサイバー攻撃スピードへの 追従である． しかも，2010 年以降注目を集めている APT (Advanced Persistent Threat；攻撃対象を狙い撃ちした 高度な潜伏型攻撃) に代表される標的型攻撃は， 図 1：対策アプローチの変化 図 2：潜在的な脅威残存期間 侵害活動の成果が次の標的型攻撃に利用される踏み 台型であり，最終目標となる特定組織への侵害活動 につながっている．すなわち，セキュリティ対策や インシデント対応が，少なからず他組織に影響を与 える／他組織の影響を受ける構図となっていること から，CSIRT を活用した組織間での専門的，実務的 な連携にもスピードアップが求められてくることに もなる．

CSIRT (Computer/Cyber Security Incident Response /Readiness Team) としての HIRT (Hitachi Incident Response Team) の具体的な役割は，『脆弱性対策： サイバーセキュリティに脅威となる脆弱性を除去す るための活動』と『インシデント対応：発生してい るサイバー攻撃を回避並びに解決するための活動』 を通じて，日立グループのサイバーセキュリティ対 策活動を先導していくことに変わりはない． また，我々の考える CSIRT の要件は，脆弱性対策 やインシデント対応を推進するにあたり，『技術的 な視点で脅威を推し量り，伝達できること』，『技 術的な調整活動ができること』，『技術面での対外 的な協力ができること』という能力を備えているこ とである． これは，特別な要件を想定しているわけではない． インシデントオペレーション (インシデントに伴う 被害を予測ならびに予防し，インシデント発生後は 被害の拡大を低減するために実施する一連のセキュ リティ対策活動) の経験値を活かして『次の脅威を キャッチアップする過程の中で早期に対策展開を図 る』ことにある．HIRT は，これら能力ならびに役 割を持った組織として，製品ならびにサービスの脆 弱性対策，マルウェア被害や情報漏洩などのインシ デント対応を先導すると共に，日立グループの CSIRT 統一窓口組織としての役割を担っている． 本稿では，2015 年の HIRT 活動の報告として，2015 年の脅威と脆弱性の概況，HIRT の活動トピックス について報告する．

2

2015 年の活動概要

本章では，2015 年の脅威と脆弱性の概況，HIRT 1990 2000 2010 2020 危険と思うまで使い続ける (リスク加算型対策) 安全が確認できるまで止める(リスク減算型対策) ▲同種のサイバー攻撃の多発(2015) ▲防衛産業企業への標的型攻撃(2011) ▲ファイル共有ソフトによる情報漏えい(2006) HDD付クライアント データセントリック型対策_{Thinクライアント} 入口対策 出口対策 ▲広域な侵害活動発生 ▲ 深刻な脆弱性発見/侵害活動発生 ▲限定的な侵害活動発生 ▲ 対策開始 ▲ 対策完了 リスク値 サービス停止期間 潜在的な 脅威残存期間 (対策準備期間) ▲暫定対策 ▲根本対策 時刻 リスク閾値

の活動を報告する． 2.1 脅威と脆弱性の概況 (1) 脅威の概況 標的型攻撃，Web サイトの侵害など，既知の脅威 による被害は継続している状況にある． 2015 年のインシデントの特徴としては，インター ネットバンキングを対象とした不正プログラムによ る被害の深刻化が挙げられる．一方，攻撃手法とし ては，パソコン内のファイルを人質にとるランサム ウェア攻撃，要求／応答のメッセージ増幅を利用し た増幅攻撃 (いわゆる，リフレクター攻撃) の定常 化が挙げられる．  インターネットバンキング 警察庁の報告によれば，2015 年の国内の不正送金 被害は計 1,495 件 (2014 年の 0.8 倍)，被害総額は約 30 億 7,300 万円 (2014 年の 1.05 倍) に上っている (図 3) [1]．特徴としては，信用金庫の法人口座被害 が急増し，法人名義口座に係る被害額が過去最悪を 記録した．  Web サイト侵害活動 2013 年 3 月以降，国内 Web サイトでは，ホーム ページ誘導型マルウェア感染を意図したページ改ざ ん事案が続いている．報告件数を見ると，2009 年に 発生したガンブラー (Gumblar) 事案のときよりも， 多くの改ざんが発生している状況は継続している (図 4)． 図 3：不正送金事案の年別被害件数と被害額 (出典：警察庁)  ランサムウェア ランサムウェアは，パソコン内のファイルを人質 にとる不正プログラムの総称である．2015 年以降， 特に，パソコン内のファイルを暗号化し，その暗号 解除と引き換えに金銭を要求するランサムウェアは 急増している．シマンテックの報告[2]によれば，64% がパソコン内のファイルを暗号化する暗号型，36% がパソコンへのアクセスを制限するロック型で，日 本での発見件数は第 2 位としている．また，マカフ ィの報告[3]によれば，ランサムウェアの合計数は 2014 年よりも 127%増加，2015 年第 2 四半期だけで 約 120 万の新たな検体が発見されたとしている． 重要なファイルがランサムウェアによって暗号化 されてしまった場合には，事業継続に直接的影響を 与えるため，バックアップの取得だけではなく，バ ックアップからの回復にも目を向けていく必要があ る． 図 4：Web サイトのページ改ざんの報告件数 (出典：JPCERT/CC) 表 1：2013 年以降の代表的なランサムウェア 時期 ランサムウェア名 2013 年 9 月 CryptoLocker 12 月 CryptoLocker 2.0 2014 年 2 月 CryptoDefense 3 月 CryptoWall 1.0 5 月 ANDROIDOS_LOCKER.HBT(Android 環境) 7 月 CTB-Locker 8 月 TorrentLocker 10 月 CryptoWall 2.0 11 月 Coinvault 2015 年 1 月 CryptoWall 3.0 2 月 TeslaCrypt 3 月 CRYPVAULT 7 月 TeslaCrypt 2.0 9 月 Chimera，TeslaCrypt 2.1 11 月 CryptoWall 4.0，Linux.Encoder(Linux 環境) 12 月 TeslaCrypt 2.2 図 5：DDoS 攻撃のピークトラフィックの推移 (出典：Arbor Networks) [4] 0 500 1,000 1,500 2,000 0 10 20 30 40 2011 2012 2013 2014 2015 被害額 件数 被害件数(件) 被害額(億円) 0 200 400 600 800 1,000 1,200 2009/01 2011/01 2013/01 2015/01 #Webサイト改ざん(IPアドレスベース) 2013年3月から継続した 国内Webページの改ざん ガンブラー (Gumblar) (件) 0 100 200 300 400 2010 2011 2012 2013 2014 2015 (Gbps) (Gbps)

 リフレクター攻撃

DDoS 攻撃のピークトラフィックは増加傾向にあ り (図 5) ，DDoS 攻撃の脅威は継続している．Arbor Networks の報告[4]によれば，1Gbps を超える攻撃が 2 割を超え，DrDoS (Distributed Reflective Denial of Service，分散リフレクター型のサービス不能) 攻撃 については，攻撃トラフィックは増加し，特に，UPnP (Universal Plug and Play) 対応機器の SSDP (Simple Service Discovery Protocol) を用いた攻撃が顕在化し てきたとしている．

また，サービス停止を意図して DDoS 攻撃を仕掛 け，攻撃を停止する身代金としてビットコインを要 求する DD4BC(DDos for Bitcoin)と呼ばれる攻撃にお いても，SSDP と NTP のリフレクター攻撃，Wordpress XML-RPC のリフレクター攻撃が利用されたとして いる[5]．DD4BC は，2014 年半ばから各国で被害が 目立ち始め，2015 年には，日本国内でも被害が報告 されている． (2) 脆弱性の概況  全体傾向

米 NIST NVD (National Vulnerability Database) [6] に登録された 2015 年の脆弱性の総件数は 6,488 件で ある．このうち，Web 系ソフトウェア製品の脆弱性 が約 2 割 (1,319 件) を占めており (図 6)，内訳は， クロスサイトスクリプティング (XSS)，SQL インジ ェクションが約 7 割を占めるという状況が続いてい る (図 7)．同じく，IPA に報告された稼動中 Web サイトの脆弱性の報告件数は，例年に比べて減って いるものの，約 6 割がクロスサイトスクリプティン グ (XSS)，SQL インジェクションによって占められ ている (図 8) [7]．  制御システム製品

米 ICS-CERT (Industrial Control System-CERT) か ら発行された注意喚起 (Alert) とアドバイザリはそ れぞれ 10 件，126 件である (図 9)． 脆弱性種別としては，スタックオーバーフロー (CWE-121)，クロスサイトスクリプティング (CWE-79)，入力データの検証が適切ではないこと (CWE-20) に起因する脆弱性が上位を占め，パスワ ードがハードコーディングされている問題 (CWE-798) も引き続き報告されている．また，アナ ログ伝送の信号に，デジタル信号を重畳して伝送す る方式 HART (Highway Addressable Remote

Transducer) を実装する DTM (Device Type Manager) 製品の脆弱性に関するものが 10 件，医療分野では点 滴システムの脆弱性に関するものが 6 件報告された． 図 6：脆弱性報告件数の推移 (出典：NIST NVD) 図 7：Web 系ソフトウェア製品の 脆弱性報告件数の推移 (出典：NIST NVD) 図 8：Web サイトの脆弱性報告件数の推移 (出典：IPA，JPCERT/CC) 図 9：制御システム製品の脆弱性報告件数の 推移 (出典：ICS-CERT) 0 2,000 4,000 6,000 8,000 10,000 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Webアプリケーション Webアプリケーション以外 (件) 0 500 1,000 1,500 2,000 2,500 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 クロスサイト・リクエスト・フォージェリ (CSRF) ディレクトリ・トラバーサル SQLインジェクション クロスサイトスクリプティング (XSS) (件) 0 500 1,000 1,500 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 クロスサイト・リクエスト・フォージェリ (CSRF) ディレクトリ・トラバーサル SQLインジェクション クロスサイトスクリプティング (XSS) (件) 0 50 100 150 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 ICS-CERT Advisory ICS-CERT Alert (件)

2.2 HIRT の活動トピックス (1) 日立グループ CSIRT 活動の向上 (フェーズ 3) 2010 年，『日立グループ全体にインシデントオペ レーション活動を浸透させていくこと』を目標とし て日立グループ CSIRT 活動の向上を開始した (図 11)．6 年目となる 2015 年は，最終年として，バー チャルかつ横断的な対応体制 (HIRT センタ～IRT 窓 口～IRT 連携支援メンバ) を実現するために規則面 の強化を図った．具体的には，今後の運用を踏まえ， セキュリティインシデント対策の関連規則に，事業 部 IRT の役割として，「セキュリティ対応体制の構 築と維持」を規定するなどを推進した． また，技術継承については，HIRT オープンミー ティング『技術編』開催 (表 2) [*a]，IRT 連携支援 メンバとの会合であるアドバンスド HIRT オープン ミーティングの大甕地区開催に加えて，2014 年横浜 研究所内に開設した HIRT ラボプロジェクトルーム を利用し，標的型攻撃などのサイバー攻撃を調査す るために構築した組織内ネットワークの擬似環境下 で侵入後の攻撃者の行動を記録し分析する「動的活 動観測」(図 10)，STIX/TAXII [*b]を用いた組織間で のサイバーセキュリティ情報活用[8]に取り組み始 めた． 図 10：攻撃者の行動を記録する動的活動観測 *a) HIRT オープンミーティング 信頼関係に基づく HIRT コミュニティを普及させるための活動． 『HIRT 活動に関して，HIRT センタに所属するメンバ同士が情報交 換する場である』『HIRT センタの活動内容について，日立グループ に広く知ってもらうことと，HIRT センタ以外からの意見を広く取り 入れるために，情報交換する場を公開する』『公開の場を通じて， 信頼関係に基づく HIRT コミュニティへの参加を募る』という方針 に沿って開催している．

*b) STIX (Structured Threat Information eXpression: 脅威情報構造化記 述形式)は，サイバー攻撃活動を記述するための XML 仕様．TAXII (Trusted Automated eXchange of Indicator Information: 検知指標情報自 動交換手順)は，脅威情報を交換するための手順．情報活用基盤の仕 様として注目されている． 分類 具体的な施策 フェーズ 1 (2010 年 ～2011 年) 事業部／グループ会社 IRT 窓口との連携強化 > 事業部／グループ会社 IRT と HIRT センタ連携 による各種支援活動の推進 > HIRT オープンミーティングを活用した，IRT 連 携の運営体制，技術ノウハウの展開体制の整備 > セキュリティレビュー支援などから得られた課 題の解決に向けた対策展開 フェーズ 2 (2012 年 ～2013 年) IRT 連携支援メンバとの連携強化 > IRT 連携支援メンバ (事業部・グループ会社) 制 度の試行 > IRT 連携支援メンバを起点とした IRT 活動のボ トムアップ フェーズ 3 (2014 年 ～2015 年) バーチャルかつ横断的な対応体制の整備

> HIRT センタ～IRT 窓口～IRT 連携支援メンバに よる各種支援活動の推進 > ユーザ連携モデル (フェーズ 1，2) と組織連携 モデル (フェーズ 3) 融合による広義の HIRT (バーチャル組織体制) の構築 図 11：日立グループ CSIRT 活動の向上 表 2：HIRT オープンミーティング『技術編』 年月 概要 2015 年 1 月 アドバンスド HIRT オープンミーティング フォレンジック調査(体験編)のハンズオン 2015 年 2 月 【外部講師】 三井物産セキュアディレクション(株) 国分裕 氏，寺田健氏 『脆弱性発見の立場から』 2015 年 3 月 アドバンスド HIRT オープンミーティング @大甕地区 2015 年 4 月 社外サーバの脆弱性検査における技術対策セミ ナー 2015 年 7 月 【外部講師】 一般社団法人 JPCERT コーディネーションセン ター Jack YS LIN (林 永煕) 氏 『「サイバー強国」になりうるか -中国-』 2015 年 8 月 アドバンスド HIRT オープンミーティング 2015 年 9 月 Windows イベントログ調査のハンズオン (2) 分野別 IRT 活動の試行  HIRT-FIS におけるレディネス活動の推進 分野別視点を取り込んだインシデントレスポンス ＋レディネス 3 層サイクル (図 12) を実践するため， HIRT-FIS (Financial Industry Information Systems HIRT) が主体となり，金融分野における社内外のレ ディネス活動を推進した．社外対応としては，金融 支援対象部署 ・セキュリティ情報 ・セキュリティレビュー支援 ・検査ツールの技術支援 ・教育企画 HIRT センタ SIベンダIRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT 社内ユーザIRT 製品ベンダIRT IRT連携支援メンバ 全社各事業部・グループ会社 フェーズ2(2012年～2013年) IRT連携支援メンバとの連携強化 フェーズ3(2014年～2015年)

バーチャルかつ横断的な対応体制(HIRTセンタ～IRT窓口～IRT連携支援メンバ)の整備 ⇒日立グループ全体で推進するインシデントオペレーション活動の定着化

フェーズ1(2010～2011年) 事業部・グループ会社IRT窓口との連携強化

系 CSIRT との連携を模索するための HIRT-FIS セキ ュリティノートの週次配信の拡大，金融系 CSIRT と の意見交換会の実施を通して，日本シーサート協議 会の加盟を支援した． HIRT-FIS セキュリティノートは，国内外で発生し た金融関連のセキュリティインシデントや関連規則 などの話題を取り上げた簡易レポートである(表 3， 図 13)． 図 12：インシデントレスポンス＋レディネス 3 層サ イクルの概念 表 3：HIRT-FIS セキュリティノート 項目 2013 年 2014 年 2015 年 発行数 10 件 48 件 48 件 受信者数 4 名 9 名 35 名 受信組織数 2 組織 5 組織 22 組織 図 13：金融系 CSIRT 向けに週次配信している HIRT-FIS セキュリティノート (3) CSIRT コミュニティとの組織間連携の強化 日本シーサート協議会への加盟を支援すると共に (表 4)，SSH サーバセキュリティ設定検討 WG と連 携し「SSH サーバセキュリティ設定ガイド V1.0」 を発行した[9]． 表 4：日本シーサート協議会への加盟支援 加盟年月 加盟チーム名 2015 年 3 月 MY-SIRT (明治安田生命保険相互会社) 2015 年 10 月 AHIRU (アフラック) 2015 年 11 月 MELCO-CSIRT (三菱電機(株)) (4) 第 11 回「情報セキュリティ文化賞」受賞 他社に先駆けた企業内 CSIRT の立ち上げ，同分野 の国際的なフォーラムである FIRST に国内メーカと して最初に加盟するなどの積極的な活動が評価され， 情報セキュリティ大学院大学の「情報セキュリティ 文化賞」を受賞しました[10]． (5) その他  MWS (マルウェア対策研究人材育成ワークショ ップ) 2015 への参画[14] マルウェア対策の研究活動を支援していくと共 に，支援を通して次世代の CSIRT コミュニティ の醸成への寄与を目指している．  日経 BP 社 ITpro CSIRT フォーラムに，脆弱性 対策に関する記事「チェックしておきたい脆弱 性情報」を寄稿[11]

3

HIRT

本章では，HIRT に対する理解を深めてもらうた めに，組織編成モデル，調整機関である HIRT セン タの位置付け，ならびに HIRT センタが推進してい る活動について述べる． 3.1 組織編成モデル HIRT では，4 つの IRT という組織編成モデルを採 用している (図 14，表 5)．日立グループの企業活 動をインシデント対応からみると，情報システムや 制御システムなどの製品を開発する側面 (製品ベン ダ IRT)，その製品を用いたシステム構築やサービス を提供する側面 (SI ベンダ IRT)，そして，インター ネットユーザとして自身の企業を運用管理していく 側面 (社内ユーザ IRT) の 3 つがある．4 つの IRT で は，ここに，IRT 間の調整業務を行なう HIRT/CC (HIRT Coordination Center) を設けることにより，各 IRT の役割を明確にしつつ，IRT 間の連携を図った 効率的かつ効果的なセキュリティ対策活動を推進で きると考えたモデルである．なお，HIRT という名 称は，広義の意味では日立グループ全体で推進する インシデントオペレーション活動を示し，狭義の意 味では，HIRT/CC (HIRT センタ) を示している． 実際，4 つの IRT が整備されるまでには，表 6 に ある 4 段階ほどのステップを踏んでおり，各段階に おいては組織編成を後押しするトリガが存在してい 社内インフラ サービス提供システム お客さまシステム ★①事案発生 ★①事案発生 ★①事案発生 ②インシデント レスポンス[所管：QA] ②インシデントレスポンス [所管：サイバー対策室] 金融産業 ★③サイバー攻撃対策に関する業界標準 ④インシデントレディネス [所管：業種IRT] _{[所管：サイバー対策室]}④インシデントレディネス ★⑤新規攻撃によるセキュリティ対策の危殆化 ★③サイバー攻撃対策に関する制度 ⑥インシデントレディネス[所管：HIRT] ★⑤新規攻撃によるセキュリティ対策の危殆化

る．例えば，第 2 ステップの製品ベンダ IRT 立上げ には CERT/CC から報告された SNMP の脆弱性[12] が多くの製品に影響を与えたことが後押しとなった． また，第 3 ステップの SI ベンダ IRT 立上げについて は『情報セキュリティ早期警戒パートナーシップ』 [33][34]の運用開始が挙げられる．HIRT センタは，3 つの IRT の大枠が決まった後に，社内外の調整役を 担う組織として構成されたという経緯がある． さらに，2010 年からは，バーチャルかつ横断的な 対応体制を整備し，『日立グループ全体にインシデ ントオペレーション活動を浸透させていくこと』を 目標とした日立グループ CSIRT 活動の向上を推進 している． 図 14：組織編成モデルとしての 4 つの IRT 表 5：各 IRT の役割 分類 役割 HIRT/CC 該当部署：HIRT センタ > FIRST，日本シーサート協議会, JPCERT/CC， CERT/CC などの社外 CSIRT 組織との連絡窓口 > SI ベンダ／製品ベンダ／社内ユーザ IRT 組織間 の連携調整 SI ベンダ IRT 該当部署：SI／サービス提供部署 > 顧客システムを対象とした CSIRT 活動の推進 > 公開された脆弱性について，社内システムと同 様に顧客システムのセキュリティを確保 製品ベンダ IRT 該当部署：製品開発部署 > 日立製品の脆弱性対策，対策情報公開の推進 > 公開された脆弱性について影響有無の調査を迅 速に行い，該当する問題については，告知と修 正プログラムの提供 社内ユーザ IRT 該当部署：社内インフラ提供部署 > 侵害活動の基点とならないよう社内ネットワー クのセキュリティ対策の推進 表 6：組織編成の経緯 ステップ 概要 1998 年 4 月 日立としての CSIRT 体制を整備するための プロジェクトとして活動を開始 第 1 ステップ 社内ユーザ IRT の 立上げ (1998 年～2002 年) 日立版 CSIRT を試行するために，日立グル ープに横断的なバーチャルチームを編成し， メーリングリストをベースに活動を開始．メ ンバ構成は主に社内セキュリティ有識者及 び社内インフラ提供部門を中心に編成． 第 2 ステップ 製品ベンダ IRT の 立上げ (2002 年～) 製品開発部門を中心に，社内セキュリティ有 識者，社内インフラ提供部門，製品開発部門， 品質保証部門等と共に，日立版 CSIRT とし ての本格活動に向け，関連事業所との体制整 備を開始． 第 3 ステップ SI ベンダ IRT の 立上げ (2004 年～) SI／サービス提供部門と共に SI ベンダ IRT の立上げを開始．さらに，インターネットコ ミュニティとの連携による迅速な脆弱性対 策とインシデント対応の実現に向け，HIRT の対外窓口ならびに社内の各 IRT との調整 業務を担う HIRT/CC の整備を開始． 2004 年 10 月 HIRT/CC として HIRT センタを設立． 2010 年～ 日立グループ CSIRT 活動の向上 目標：インシデントオペレーション活動の日 立グループ全体への浸透 3.2 HIRT センタの位置付け HIRT センタは，情報・通信システム社の配下に 設置されているが，社内外の調整役だけではなく， セキュリティの技術面を牽引する役割を担っている． 主な役割は，IT 戦略本部／品質保証本部との相互協 力による制度面／技術面でのセキュリティ対策活動 の推進，各事業部／グループ会社への脆弱性対策と インシデント対応の支援，そして，日立グループの CSIRT 窓口として組織間連携によるセキュリティ対 策活動の促進である (図 15)． また，HIRT センタの組織編成上の特徴は，縦軸 の組織と横軸のコミュニティが連携するモデルを採 用しているところにある．具体的には，専属者と兼 務者から構成されたバーチャルな組織体制をとるこ とで，フラットかつ横断的な対応体制と機能分散に よる調整機能役を実現している．このような組織編 成の背景には，情報ならびに制御システムを構成す る機器が多岐にわたっているため，セキュリティ問 題解決のためには，各部署の責務推進と部署間の協 力が必要であるとの考えに基づいている． 3.3 HIRT センタの主な活動内容 HIRT センタの主な活動には，社内向けの CSIRT 活動 (表 8) と社外向けの CSIRT 活動 (表 9) とが ある． 社内向けの CSIRT 活動では，セキュリティ情報の 収集／分析を通して得られたノウハウを注意喚起や アドバイザリとして発行すると共に，各種ガイドラ

インや支援ツールの形で製品開発プロセスにフィー ドバックする活動を推進している． 社内向けの注意喚起やアドバイザリの発行につい ては，2005 年 6 月から HIRT セキュリティ情報を細 分化した．注意喚起ならびに注目すべき情報を広く 配布することを目的とした HIRT セキュリティ情報 と，個別に対処依頼を通知する HIRT-FUP 情報とに 分け，広報と優先度とを考慮した運用に移行してい る (表 7，図 16)．また，情報を効果的に展開する ため，情報の集約化による発行数の低減と共に，IT 戦略本部と品質保証本部と連動した情報発信を実施 している． 図 15：HIRT センタの位置付け 表 7：HIRT が発行するセキュリティ情報の分類 識別番号 用途 HIRT-FUPyynnn 優先度：緊急 配布先：関連部署のみ HIRT センタが日立グループ製品や Web サイト の脆弱性を発見した場合や，その報告を受けた 場合など，関連部署との連絡を必要とする際に 利用する． HIRT-yynnn 優先度：中～高 配布先：限定なし 広く脆弱性対策とインシデント対応の注意喚 起を行なう際に利用する． HIRT-FYIyynnn 優先度：低 配布先：限定なし HIRT オープンミーティング，講演会などの開 催案内を通知する際に利用する． 図 16：識別番号別セキュリティ情報の発行数 表 8 推進中のプロジェクト (社内対応) 分類 概要 セキュリティ 情報の収集／ 分析／提供 > 情報セキュリティ早期警戒対応の推進 (脆 弱性対策ならびにインシデント対応に関す る情報／ノウハウの水平展開)

> 日立 SOCIX (Security Operation Center Information eXchange) のコンセプトに基づ く広域観測網の構築 製品／サービス の脆弱性対策と インシデント 対応の推進 > 事業部／グループ会社 IRT 窓口との連携強 化 (フェーズ 3) > 脆弱性対策とインシデント対応のための技 術継承 > セキュリティ情報統合サイトを活用した社 外 Web サイトにおけるセキュリティ情報発 信の推進 製品／サービス のセキュリティ 技術の向上 > セキュリティ作り込みプロセスの整備 (脆 弱性対策を仕様，コード，設定の 3 つ視点 からアプローチするとともに，先行事例作 りを推進) 研究活動基盤の 整備 > 横浜研究所との共同研究体制の整備 表 9 推進中のプロジェクト (社外対応) 分類 概要 CSIRT 活動の 国内連携の強化 > 情報セキュリティ早期警戒パートナーシッ プに基づく脆弱性対策活動の展開 > 日本シーサート協議会関連活動との連携 CSIRT 活動の 海外連携の強化 > FIRST カンファレンスでの講演／参画を通 じた海外 CSIRT 組織／海外製品ベンダ IRT との連携体制の整備

> 英国 WARP (Warning, Advice and Reporting Point) 関連活動の推進 > CVE (共通脆弱性識別子)，CVSS (共通脆弱 性評価システム)など脆弱性対策とインシ デント対応の標準化 (ISO, ITU-T) への対 応[*c][13] 研究活動基盤の 整備 > 明治大学 (菊池教授) との共同研究の推進 > マルウェア対策研究人材育成ワークショッ プ (MWS) [14] など学術系研究活動への参 画 図 17：緊急度レベル×階層レベル型の情報発信 *c) ISO SC27/WG3 では 2007 年から『脆弱性情報の開示 (29147) 』， 2010 年から『脆弱性対応手順 (30111) 』の検討を開始し，2014 年 2 月，2013 年 11 月に IS 化が完了した．ITU-T SG17 Q.4 では 2009 年 から CVE (共通脆弱性識別子) ，CVSS (共通脆弱性評価システム) な どの『サイバーセキュリティ情報交換フレームワーク (CYBEX) 』 の標準化活動を推進してきた． 情報・通信システム社 本社 全社各事業部・グループ会社 社外IRTコミュニティ －IRTコミュニティ(FIRST.org、NCA.gr.jp(日)) －IRT機関(CERT/CC(米)、CPNI(英)、JPCERT/CC(日)) －政府機関(内閣官房、経産省、総務省、警察庁) －ISP/セキュリティベンダ (NTT、IIJ、トレンドマイクロ)他 －ISAC機関(ICT-ISAC(日)、金融ISAC(日)) HIRTセンタ セキュリティ技術分科会 ・脆弱性対策支援 ・インシデント対応支援 ・情報提供 ・相談、協力 情報管理委員会 技術面を牽引 日立のIRT窓口 (組織間の技術相互連携) 製品ベンダIRT 社内ユーザIRT SIベンダIRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT IRT連絡窓口担当者 脆弱性関連情報 ハンドリング責任者 実行責任者 事業部・グループ会社IRT 施策展開 IRT統括 連携 品質保証本部 IT戦略本部 IT本部 品質保証本部 制度面を牽引 技術面の連携 制度面と技術面の 相互連携 0 50 100 150 200 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 HIRT-FYI HIRT-FUP HIRT (件)

製品／サービスの脆弱性対策とインシデント対応 としては，セキュリティ情報統合サイトを用いて， 日立グループの製品／サービスセキュリティに関す る取り組みを広くインターネットユーザに展開する 活動を推進中である．特に，社外向けのセキュリテ ィ情報の発信にあたっては，セキュリティ情報統合 サイトを用いた定常的なセキュリティ情報の発信だ けではなく，情報の『緊急度レベル』×掲載 Web サ イトの『階層レベル』を組合せた情報発信アプロー チを併用している (図 17)．

4

1998 年～2014 年の活動サマリ

本章では，HIRT プロジェクトとして活動を始め た 1998 年以降の各年の活動について述べる． 4.1 2014 年 (1) 日立グループ CSIRT 活動の向上 (フェーズ 3) 5 年目となる 2014 年は，フェーズ 3 の開始年とし て，HIRT ラボプロジェクトルームを横浜研究所の 施設内に開設した．このプロジェクトルームは，技 術継承の場であり，支援活動ならびに研究所との協 働の拠点として活用することを目的としている． (2) 分野別 IRT 活動の試行  HIRT-FIS におけるレディネス活動の推進 金融分野における社外レディネス活動として， HIRT-FIS セキュリティノートの週次配信の拡大，金 融系 CSIRT との意見交換会の実施を通して，日本シ ーサート協議会の加盟を支援した．  制御システム製品向け脆弱性対策 制御システム製品向け脆弱性対策として，仕様， コード，設定の 3 つ視点からの取り組みを開始した． (3) CSIRT コミュニティとの組織間連携の強化 組織間連携強化の具体的な活動として，2006 年か ら NTT-CERT[15]と定期的に会合を開催し，CSIRT 活動自身を改善するための情報交換を続けている． また，日本シーサート協議会への加盟支援 (表 10)， SSH サーバセキュリティ設定検討 WG の立ち上げ， インシデント情報活用フレームワーク検討 WG と連 携し情報発信を実施した[20]．

 GNU bash の脆弱性 ～shellshock 問題～ につい て  Struts: ClassLoader の操作を許してしまう脆弱性 (CVE-2014-0094, CVE-2014-0112, CVE-2014-0113) について  OpenSSL 情報漏洩を許してしまう脆弱性 ～ Heartbleed 問題～ について 表 10：日本シーサート協議会への加盟支援 加盟年月 加盟チーム名 2014 年 5 月 YMC-CSIRT (ヤマハ発動機(株)) 2014 年 10 月 NISSAY IT CSIRT (ニッセイ情報テクノロジー (株)) 2014 年 11 月 MS&AD-CSIRT (MS&AD インシュアランス グループホールディングス(株)) (5) 講演会  2014 年 2 月：一般社団法人 JPCERT コーディネ ーションセンター Jack YS LIN (林 永煕) 氏 『中国のセキュリティ事情～DarKnight (中国黒 客の夜明け) ～』  2014 年 3 月：(株)インターネットイニシアティ ブ 根岸征史氏『監視されるインターネット』  2014 年 8 月：トレンドマイクロ(株) 平原伸昭氏 『標的型攻撃対策のための一般的な対応フロー とビックデータを活用したプロアクティブな対 処とプロファイリングとは?』 4.2 2013 年 (1) 日立グループ CSIRT 活動の向上 (フェーズ 2) 4 年目となる 2013 年は，フェーズ 2 の終了年とし て，HIRT 連携支援メンバ (HIRT センタと協力して， IRT 活動を積極的に推進するメンバ) と共に，サイ バーセキュリティ対策のための技術継承の場の定着 化を推進した．技術継承にあたっては，サイバー攻 撃で使用されるマルウェアなどの動作の『解析』， 記録された痕跡から事象を把握する『調査』，サイ バー攻撃で対象となりえる脆弱性を明らかにする 『評価』の 3 つとした． (2) 分野別 IRT 活動の試行  HIRT-FIS におけるレディネス活動の推進 金融分野における社外レディネス活動として， HIRT-FIS セキュリティノートの週次配信の試行を 開始した．  制御システム製品向け脆弱性対策 HIRT を対外的な窓口の基点とした脆弱性ハンド リング，インシデントハンドリングのための対応体 制を整備した (図 18)[16]． (3) CSIRT コミュニティとの組織間連携の強化 日本シーサート協議会のインシデント情報活用フ レームワーク検討 WG と連携し情報発信を実施した [20]．  2013 年 3 月から継続している国内 Web サイトの ページ改ざん事案について

図 18：脆弱性ハンドリングのフレームワーク

(4) (ISC) 2 _{Asia-Pacific ISLA 2013 受賞}

HIRT が携わっている JVN (Japan Vulnerability Notes) に関わる脆弱性対策活動への貢献が評価さ れ，情報セキュリティ資格 CISSP を運営する (ISC)2

の 2013 年アジア太平洋情報セキュリティリーダー シップアチーブメント ISLA (Information Security Leadership Achievements) の Senior Information Security Professional を受賞しました[17]． (5) 講演会  2013 年 6 月：ソニーデジタルネットワークアプ リケーションズ(株) 松並勝氏『Android アプリ のセキュリティとソフトウェア開発現場のセキ ュリティ活動』  2013 年 9 月：(株)サイバーディフェンス研究所 ラウリ コルツパルン氏『制御システムのセキュ リティ ～情報系と制御系システムとの融合世 代に向けた積極的なアプローチの提案～』 4.3 2012 年 (1) 日立グループ CSIRT 活動の向上 (フェーズ 2) 3 年目となる 2012 年は，HIRT 連携支援メンバを 通じた日立グループ内連携の強化を図るフェーズ 2 を開始した．  HIRT オープンミーティング『技術編』を活用 した対策展開  アドバンスド HIRT オープンミーティングの開 始 (2) 分野別 IRT 活動の試行 分野別視点を取り込んだインシデントレスポンス ＋レディネス 3 層サイクルというアプローチ (図 12) を取るため，分野別 IRT 活動の試行を開始した． また，金融分野における先行的な取り組みとして， 2012 年 10 月 1 日，金融部門内に，HIRT-FIS を設置 した (図 19)． 図 19：分野別 IRT 活動の位置付けと体制 (3) CSIRT コミュニティとの組織間連携の強化  2012 年 2 月 29 日，CSIRT 活動に関心のある企 業担当者を対象に，企業の CSIRT についての意 見交換会の場として，CSIRT ワークショップ 2012 を開催[18]  2012 年 11 月 13 日～15 日，国内 FIRST 加盟チ ームと共に，FIRST 技術会議 2012 京都を京都市 国際交流会館にて開催[19]  FIRST 技術会議 2012 京都で取り上げた『脆弱性 情報のグローバルな取り扱い』を継続的に検討 していくため，FIRST 内に Vulnerability

Reporting and Data eXchange SIG (Special Interest Group) を設置 (4) 講演会  2012 年 3 月：S&J コンサルティング(株) 三輪信 雄氏『組織におけるセキュリティ対策の推進体 制』  2012 年 8 月：日本オラクル(株) 北野晴人氏『デ ータベース・セキュリティの要素と実装』  2012 年 9 月：(独)情報通信研究機構 井上大介氏 『サイバー攻撃の動向とサイバーセキュリティ 研究の最先端』  2012 年 11 月：NPO 情報セキュリティ研究所 上 原哲太郎氏『遠隔操作事案・ファーストサーバ 問題・うるう秒問題を振り返る』 4.4 2011 年 (1) 日立グループ CSIRT 活動の向上 (フェーズ 1) 2 年目となる 2011 年は，フェーズ 1 の終了年とし て，事業部・グループ会社 IRT と連携した支援活動 サイクル (課題抽出，分析・対策検討，対策展開) の 定着化に注力した． (2) 制御システム製品の脆弱性情報の発信 制御システム製品の脆弱性報告件数が増えてきた ことと，定常的に報告されている脆弱性の傾向を把 握するため，制御システム製品の脆弱性を HIRT セ キュリティ情報で取り上げることとした． (3) CSIRT コミュニティとの組織間連携の強化 日本シーサート協議会のインシデント情報活用フ レームワーク検討 WG と連携し情報発信した[20]． JPCERT/CC 米ICS-CERT 米CERT/CC 情報システム製品の 脆弱性ハンドリング 制御システム製品の脆弱性ハンドリング 特化 汎用 分野 HIRT HIRT-FIS

:

:

金融分野

HIRT-FIS (Financial Industry Information Systems HIRT)

・・・分野

HIRT-### 体制

 Web サービス連携を使用した Web サイト経由 での攻撃 mstmp について (4) 講演会  2011 年 7 月：HASH コンサルティング(株) 徳丸 浩氏『Web アプリ開発のセキュリティ要件定義』  2011 年 9 月：日本アイ・ビー・エム(株) 徳田敏 文氏『情報漏洩対策現場の苦労と実務 ～悪意あ る情報拡散犯の追跡～』

 2011 年 12 月：(株) Kaspersky Labs Japan 前田典 彦氏『Android を取り巻く状況 (Android マルウ ェアの動向) 』 (5) その他  ITU-T サイバーセキュリティ情報交換フレーム ワーク CYBEX 標準化活動への協力 4.5 2010 年 (1) 日立グループ CSIRT 活動の向上 (フェーズ 1) の始動 フェーズ 1 の初年度となる 2010 年は，脆弱性関連 情報ハンドリング責任者／IRT 連絡窓口担当者連絡 会『事務編』『技術編』の定着に注力した．  事務編 (1 回／期)：脆弱性関連情報ハンドリン グ責任者，IRT 連絡窓口担当者を対象に，IRT 活動に必要となる運営ノウハウの共有ならびに 継承を目的とした会合  技術編 (2～4 回／期)：設計者，システムエンジ ニアや技術ノウハウの展開に協力して頂ける方 を対象に，製品・サービスセキュリティの作り 込みに必要となる技術ノウハウを展開するため の会合 (2) CSIRT コミュニティとの組織間連携の強化 2010 年 12 月に，日本シーサート協議会の国際連 携ワークショップ開催を支援した．また，日本シー サート協議会のインシデント情報活用フレームワー ク検討 WG と連携し情報発信を実施した[20]．  ガンブラーウイルス対策まとめサイト  ボットネット PushDo による SSL 接続攻撃  マルウェア Stuxnet (スタクスネット) について (3) その他  2010 年 7 月，インドネシアの学術系 CSIRT 活動 を支援するため，JPCERT/CC と協力して，ワー クショップ『Academy CERT Meeting』の開催を 後援[21]  P2P ファイル交換ソフト環境で流通するマルウ ェアに関する調査[22] P2P ファイル交換ネットワーク環境 Winny に流 通するマルウェアについては，2007 年以降，依 然として Antinny 型の情報漏洩を引き起こす既 知マルウェアが多く流通している (図 20)． 図 20：Winny に流通する情報漏洩を引き起こすマル ウェアの推移 4.6 2009 年 (1) 製品／サービスセキュリティ活動の開始 脆弱性対策とインシデント対応の活動を通じて得 られたノウハウを製品開発プロセスにフィードバッ クするため，プロセス毎の HIRT 支援活動を開始し た (図 21)． 図 21：HIRT 支援活動の体系化 (2) セキュリティ技術者研修プログラムの実施 CSIRT 活動を活かしたセキュリティ技術者研修の 一環として，グループ会社より研修生を受け入れ， Web システムのセキュリティ対策を中心とした半年 間の研修を実施した． (3) 講演会  2009 年 7 月：(独)産業技術総合研究所 高木浩光 氏『Web アプリケーションセキュリティ』  2009 年 7 月：NTT-CERT 吉田尊彦氏 『NTT-CERT の活動取り組み』 (4) その他  P2P ファイル交換ソフト環境で流通するマルウ ェアに関する調査[23]  2009 年 2 月：NTT-CERT 主催のワークショップ において，NTT グループ向けに Web アプリケ ーション開発の演習を実施  日本シーサート協議会のインシデント情報活用 フレームワーク検討 WG と連携し，観測データ に基づいた見える化を試みる cNotes (Current Status Notes) [24]を用いた情報発信を開始 0% 5% 10% 15% 20% 2007 2008 2009 2010 情報漏えいマルウェアを含むファイル比率 アーカイブファイルを対象とした場合の比率 Webアプリ セキュリティ 基礎講座 セキュリティ レビュー支援 Webアプリ セキュリティ 検査体験講座 検査ツール 活用教育 インシデント 対応支援 ログチェック 運用の支援 運 用 テスト 実装/構築 設 計 見 積 基礎知識

4.7 2008 年 (1) DNS キャッシュポイズニングの対策 DNS キャッシュポイズニング対策として，『DNS の役割と関連ツールの使い方』説明会を開催した． 説明会用に作成した資料は，国内の DNS キャッシュ ポイズニング対策に役立ててもらうため，2009 年 1 月に IPA から発行された『DNS キャッシュポイズニ ング対策』[25]の資料素材として提供した． (2) JWS2008 の開催 2008 年 3 月 25 日～28 日，国内 FIRST 加盟チーム と共に，FIRST 技術ミーティングである FIRST Technical Colloquium と国内 CSIRT の技術交流ワー クショップ Joint Workshop on Security 2008, Tokyo (JWS2008) を開催した[26]．

(3) 国内 COMCHECK Drill 2008 への参加

企業内の情報セキュリティ部署の対外向け連絡窓 口のコミュニケーション確認を目的とした，国内 COMCHECK Drill 2008 (演習名：SHIWASU，2008 年 12 月 4 日実施) に参加した． (4) 経済産業省商務情報政策局長表彰 (情報セキュ リティ促進部門) 受賞 2008 年 10 年 1 日，情報化月間推進会議 (経済産 業省，内閣府，総務省，財務省，文部科学省，国土 交通省) 主催の，平成 20 年度情報化月間記念式典に おいて，『経済産業省商務情報政策局長表彰 (情報 セキュリティ促進部門) 』を受賞しました[27]． (5) 講演会  2008 年 4 月：明治大学 経営学部教授 中西晶氏 『高信頼性組織のマネジメント』 (6) その他  新たな組織間連携の取り組みとして，標的型攻 撃の実態の一旦を明らかにすべく情報処理学会 コンピュータセキュリティ研究会が主催するシ ンポジウムの募集要項を騙ったマルウェア添付 メールの検体を関連組織に提供した[28]． 4.8 2007 年 (1) 演習型 HIRT オープンミーティングの開始 ガイドライン『Web アプリケーションセキュリテ ィガイド』のより実践的な展開を図るため，2007 年 は，3 月，6 月の 2 回，Web アプリケーション開発 者を対象に，演習型の HIRT オープンミーティング を開催した． (2) 日本シーサート協議会の設立 2007 年 4 月，単独の CSIRT では解決が困難な事 態に対して CSIRT 間の強い信頼関係に基づいた迅 速かつ最適な対応を実施する体制作りを整備するた め，IIJ-SECT (IIJ)，JPCERT/CC，JSOC (ラック)， NTT-CERT (NTT)，SBCSIRT (ソフトバンク) と共に， 日本シーサート協議会を設立した[29]．2015 年 12 月現在，106 チームが加盟している (図 22)． 図 22：日本シーサート協議会加盟数の推移 (3) 英 WARP 加盟 2007 年 5 月，CSIRT 活動の海外連携強化のため， 英国政府のセキュリティ機関 CPNI (The Centre for the Protection of the National Infrastructure) が推進す る WARP (Warning, Advice and Reporting Point) に加 盟した[30]． (4) 講演会  2007 年 8 月：フォティーンフォティ技術研究所 鵜飼裕司氏 『静的解析による脆弱性検査』 4.9 2006 年 (1) 脆弱性届出統合窓口の設置 2006 年 11 月，日立グループにおいて脆弱性関連 情報を適切に流通させ，日立のソフトウェア製品お よび Web サイトの脆弱性対策を推進するために，ソ フトウェア製品および Web アプリケーションに関 する脆弱性もしくは不具合を発見した場合の日立グ ループ向け脆弱性届出統合窓口を設置した． (2) Web アプリケーションセキュリティの強化 2006 年 10 月，日立グループにおける Web アプリ ケーションセキュリティ施策の一環として，ガイド ラインとチェックリストを改訂すると共に，日立グ ループ内への展開を支援した． (3) ファイル交換ソフトによる情報漏洩に関する注 意喚起 Antinny は，2003 年 8 月に出現したファイル交換 ソフトウェア『Winny』を通じて流布するマルウェ アである．感染すると情報漏洩や特定サイトへの攻 撃活動を発症する．HIRT では，これら脅威の状況 を踏まえ，2006 年 4 月に資料『～ウィニーによる情 報漏洩の防止と将来発生する危険から身を守るため に～』による注意喚起を行った． 0 20 40 60 80 100 120 0 5 10 15 20 25 30 35 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 日本シ ー サ ー ト協議会加盟数 CS IRT 設立数 加盟組織のCSIRT設立年 日本シーサート協議会加盟数

(4) 情報家電／組込み系の製品セキュリティ活動の

立上げ

情報家電／組込み系の製品セキュリティ活動の立 上げを開始した．HIRT では，インターネット電話 などで用いられる通話制御プロトコルのひとつであ る SIP (Session Initiation Protocol) に注目し，関連す るセキュリティツールならびにセキュリティ対策の 状況を調査報告としてまとめた． (5) CSIRT コミュニティとの組織間連携の強化 2006 年 3 月，NTT-CERT 主催の NTT グループ向 けワークショップで日立の CSIRT 活動を紹介し， CSIRT 活動を相互に改善するための情報交換を行な った． (6) 講演会

 2006 年 5 月：eEye Digital Security 鵜飼裕司氏 『組込みシステムのセキュリティ』  2006 年 9 月：Telecom-ISAC Japan 小山覚氏 『Telecom-ISAC Japan におけるボットネット対 策』 (7) その他  HIRT から発信する技術文書 (PDF ファイル) にデジタル署名を付加する活動を開始[31] 4.10 2005 年 (1) FIRST 加盟 2005 年 1 月，各国の CSIRT 組織と連携可能なイ ンシデント対応体制を作りながら，CSIRT 活動の実 績を積むため，世界におけるコンピュータ・インシ デント対応チームの国際的なフォーラムである Forum of Incident Response and Security Teams (FIRST) に加盟した[32]．加盟にあたっては，加盟 済み 2 チームによる推薦が必要であり，約 1 年の準 備期間を要した． 2015 年 12 月現在，計 345 チームで，日本からは 25 チームが加盟している (図 23) [*d]． *d) CDI-CIRT (サイバーディフェンス研究所)，CFC (警察庁情報通信 局)，DeNA CERT (DeNA)，DT-CIRT (デロイトトーマツ)，FJC-CERT (富士通)，Fuji Xerox-CERT (富士ゼロックス)，HIRT (日立)，IIJ-SECT (IIJ)，IPA-CERT (情報処理推進機構)，JPCERT/CC，JSOC (ラック)， KDDI-CSIRT (KDDI)，KKCSIRT (カカクコム)，LINE-CSIRT (LINE)，

MBSD-SIRT (三井物産セキュアディレクション)，MIXIRT (ミクシィ)，

MUFG-CERT (三菱 UFJ フィナンシャルグループ)，NCSIRT (NRI セ キュアテクノロジーズ)，NISC (内閣サイバーセキュリティセンタ)， NTT-CERT (NTT)，NTTDATA-CERT (NTT データ)，Panasonic PSIRT (パナソニック)，Rakuten-CERT (楽天)，RicohPSIRT (リコー)， SBCSIRT (ソフトバンク)，YIRD (ヤフー) 図 23：FIRST 加盟チーム数の推移 (2) セキュリティ情報統合サイトの開設 2005 年 9 月，日立グループの製品／サービスのセ キュリティ問題に関する情報を統合的にインターネ ット利用者に提供するため，各事業部ならびにグル ープ会社の Web サイトから発信されているセキュ リティ情報を統合する窓口ページを開設した (図 24)．これにあわせ，セキュリティ情報発信ガイドと して『社外向け Web セキュリティ情報発信サイトの 発信ガイド V1.0』を作成した． セキュリティ情報統合サイト 日本語 http://www.hitachi.co.jp/hirt/ 英語 http://www.hitachi.com/hirt/ 図 24：統合サイトでのセキュリティ情報発信 (3) CSIRT 活動の国内連携強化 CSIRT 活動の国内連携強化として，FIRST 加盟済 み国内チームとの意見交換会，NTT-CERT ならびに マイクロソフト PST (Product Security Team) との個 別に意見交換会を実施すると共に，Web サイト改ざ ん発見時の通知などの連絡網を整備した． 4.11 2004 年 (1) 情報セキュリティ早期警戒パートナーシップ への参画 2004 年 7 月『ソフトウェア等脆弱性関連情報取扱 0 5 10 15 20 25 30 0 100 200 300 400 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 日本チ ー ム 加盟数 チ ー ム 総数 チーム総数 日本チーム加盟数

基準』の施行にあわせて，情報セキュリティ早期警 戒パートナーシップ制度が始動した[33][34]，日立グ ループでは，パートナーシップに製品開発ベンダと して登録 (HIRT を連絡窓口) すると共に，JVN (Japan Vulnerability Notes) [35]への脆弱性対策の状況 掲載を開始した． (2) Web アプリケーションセキュリティの強化 2004 年 11 月，Web アプリケーションの設計／開 発時に留意すべき代表的な問題点とその対策方法の 概要についてまとめた Web アプリケーションセキ ュリティガイドを作成し，日立グループ全体に展開 した． (3) 講演会

 2004 年 1 月：ISS (Internet Security Systems) Tom Noonan 氏 『Blaster 以降の米国セキュリティビ ジネス事情』 4.12 2003 年 (1) Web アプリケーションセキュリティ活動の 立上げ Web アプリケーションセキュリティ強化活動の検 討を開始すると共に，事業部と共同で『Web アプリ ケーション開発に伴うセキュリティ対策基準の作成 手順』を作成した． (2) NISCC からの脆弱性関連情報の社内展開 2002 年の CERT/CC 脆弱性関連情報の社内展開に 続き，NISCC (現 CPNI) Vulnerability Disclosure Policy に基づく脆弱性関連情報入手と情報掲載を開始した． 活動開始以降，日立製品の情報が NISCC Vulnerability Advisory に最初に掲載されたのは 2004 年 1 月の 006489/H323 である[36]． (3) HIRT 社外向け連絡窓口の整備 脆弱性発見に伴う関連機関への報告と公開に関す る活動の活発化にあわせ，日立製品ならびに日立が 関与するサイトに対して脆弱性の存在や侵害活動の 要因などが指摘された場合の対処窓口として，表 11 に示す連絡窓口を設置した． 表 11：連絡窓口情報

名称 "HIRT": Hitachi Incident Response Team.

所在地 〒140-8572 東京都品川区南大井 6-27-18 日立大森第二別館 10 階 メールアドレス 公開鍵 PGP key KeyID = 2301A5FA Key fingerprint

7BE3 ECBF 173E 3106 F55A 011D F6CD EB6B 2301 A5FA HIRT: Hitachi Incident Response Team

< > 4.13 2002 年 (1) CERT/CC 脆弱性関連情報の社内展開 2002 年に CERT/CC から報告された SNMP の脆弱 性[12]は，多くのソフトウェアや装置に影響を与え た．この脆弱性報告をきっかけに，HIRT では，製 品ベンダ IRT の立上げと，CERT/CC Vulnerability Disclosure Policy に基づく脆弱性関連情報入手と情 報掲載を開始した[37]．活動開始以降，日立製品の 情報が CERT/CC Vulnerability Notes Database に最初 に掲載されたのは 2002 年 10 月の VU#459371 である [38]．

(2) JPCERT/CC Vendor Status Notes の構築と

運用支援

国内のセキュリティ情報流通改善の試みとして， 2003 年 2 月，試行サイト JPCERT/CC Vendor Status Notes (JVN) (http://jvn.doi.ics.keio.ac.jp/) の構築と 運用を支援した (図 25) [39][40]．なお，試行サイト は，2004 年 7 月の『ソフトウェア等脆弱性関連情報 取扱基準』の施行に伴い，報告された脆弱性を公表 する Japan Vulnerability Notes (JVN) サイト

(http://jvn.jp/) にその役割を引き継がれている． 図 25：JVN 試行サイトの構築ならびに運用 4.14 2001 年 (1) Web サーバを攻撃対象とするワームの 活動状況調査 インターネット上に公開している Web サーバか ら回収したログデータをもとに，2001 年に流布した Web サーバを攻撃対象とするワームである， CodeRed I，CodeRed II，Nimda の活動状況について 状況調査を実施した (2001 年 7 月 15 日～2002 年 6 月 30 日)．特に，国内で被害の大きかった CodeRed II， Nimda (図 26) については，最初の痕跡記録時刻か ら最頻数となった日までわずか 2 日間程度であり， ワームによる被害波及が短期間かつ広範囲に渡って いた． 2002 2003 2004 2005 2003/02/03～2004/07/07 試行サイト運用期間 ▲ 2002年6月 JVNワーキンググループ立ち上げ ▲ 2003年2月 jvn.doi.ics.keio.ac.jp 試行サイト公開 ▲ 2003年7月 JVNRSS 提供開始 ▲ 2004年1月 TRnotes 提供開始 ▲ 2003年12月 VN-CIAC 提供開始 ▲ 2004年7月 jvn.jp サイト公開 2004/07/08～ 本サイト運用

図 26：観測期間内の痕跡数変位 (Nimda) 4.15 2000 年 (1) 脆弱性の深刻度に関する指標調査 侵害活動などに利用される脆弱性の深刻度を図る ために，関連機関が提示している脆弱性の深刻度の 指標を調査した．

CERT/CC では，脆弱性毎に Vulnerability Notes[41] と呼ぶメモを作成し，その中で脆弱性の深刻度を示 す Severity Metrics を算出している[42]．MITRE が推 進する CVE (共通脆弱性識別子) では脆弱性を『通 常考えられる一般的なセキュリティポリシーを侵害 する Vulnerability』と『個々の環境に依存し，個別 のセキュリティポリシーを侵害する Exposure』の 2 つに区別し，Vulnerability を脆弱性として取り扱う [43]．また，NIST では，NVD の前身である ICAT Metabase[44]において，CERT アドバイザリならびに CVE の発行有無を脆弱性の深刻度判定の目安とし， 3 段階の分類を行っている．なお，各組織で使用す る脆弱性の深刻度指標が異なっていることから， 2004 年，脆弱性の深刻度を包括的かつ汎用的に評価 する共通指標として FIRST が推進する CVSS (共通 脆弱性評価システム) [45]が利用され始めた． 4.16 1999 年 (1) hirt.hitachi.co.jp ドメイン稼動開始 日立グループへのセキュリティ情報提供の改善を 図るため，1999 年 12 月，HIRT プロジェクト用の社 内向けドメインを用意し，Web サイト hirt.hitachi.co.jp を立上げた． (2) Web サイト書き換えの調査 1996 年に米国で Web サイトのページ書き換えが 発生してからネットワークワーム世代 (2001 年～ 2004 年) までの間，Web サイトのページ書き換えが 代表的なインシデントとなった．1999 年～2002 年に かけ，侵害活動の発生状況を把握するために，Web サイトのページ書き換えに関する調査を行なった (図 27)． 図 27：Web サイトの書き換え件数の推移 4.17 1998 年 (1) HIRT セキュリティ情報のサービス開始 1998 年 4 月，CERT/CC，JPCERT/CC や製品ベン ダ (シスコ，ヒューレッド・パッカード，マイクロ ソフト，ネットスケープ，サン・マイクロシステム ズなど) が発行するセキュリティ情報を元に社内メ ーリングリストと HIRT プロジェクト用の社内 Web サイトにて対策情報の提供を開始した． (2) ネットワークセキュリティセミナー開催 1998 年 6 月 25 日～26 日，米セキュリティカンフ ァレンス DEFCON[46]にスピーカとしても参加して いる米国技術者を講師に迎え，日立向けに『ネット ワークセキュリティ』教育を実施した．

5

おわりに

セキュリティ対策やインシデント対応が，少なか らず他組織に影響を与える／他組織の影響を受ける 構図となり、CSIRT を活用した組織間での専門的， 実務的な連携にもスピードアップが求められるだけ ではなく、物理的な影響を伴う被害も顕在化し始め てきている。次の克服すべき課題は、攻撃者のサイ バー攻撃スピードへの追従と、サイバーとフィジカ ル両面からのインシデント対応体制であろう。 HIRT では，この新たな脅威の状況に対処してい くため，「日立グループ CSIRT 活動の向上～6 ヵ年 計画～」に続き、「分野別 CSIRT 活動の推進～6 ヵ 年計画～」を開始すると共に、『次の脅威をキャッ チアップする』過程の中で，早期に対策展開を図る 活動を進めていく． (2016 年 8 月 14 日)

参考文献

1) 警察庁, 平成 27 年中のインターネットバンキング に係る不正送金事犯の発生状況等について, http://www.npa.go.jp/cyber/pdf/H280303_banking.pdf 0 500 1,000 1,500 2,000 0 7 /15 0 8 /15 0 9 /15 1 0 /15 1 1 /15 1 2 /15 0 1 /15 0 2 /15 0 3 /15 0 4 /15 0 5 /15 0 6 /15 (件) 0 500 1,000 1,500 2,000 2,500 3,000 1995 1996 1997 1998 1999 2000 2001 2002 (サイト数)

2) シマンテック, The evolution of ransomware (Aug. 2015), http://www.symantec.com/content/en/us/enterprise/media/ security_response/whitepapers/the-evolution-of-ransomware.pdf

3) マカフィ, 脅威レポート (Aug. 2015), http://www.mcafee. com/jp/resources/reports/rp-quarterly-threat-q2-2015.pdf

4) Arbor Networks, ATLAS Q2 2015 Global DDoS Attack Trends, http://www.slideshare.net/Arbor_Networks/atlas-q2-2015final

5) Arbor Networks, ASERT Threat Intelligence Report 2015-04; "DD4BC DDoS Extortion Threat Activity",

http://pages.arbornetworks.com/rs/082-KNA-087/images/ATIB2015-04D D4BC.pdf

6) NIST, NVD (National Vulnerability Database),

http://nvd.nist.gov/ 7) (独)情報処理推進機構, 脆弱性関連情報に関する届 出状況, https://www.ipa.go.jp/security/vuln/report/press.html 8) 日立と HP がサイバー脅威に関するデータ共有の試 行を開始, http://www.hitachi.co.jp/New/cnews/month/2015/10/1006a.html 9) 日本シーサート協議会, SSH サーバセキュリティ 設定検討 WG, http://www.nca.gr.jp/activity/sshconfig-wg.html 10) 情報セキュリティ大学院大学, 第 11 回「情報セキ ュリティ文化賞」, https://www.iisec.ac.jp/news/20150210culsec_11th.html 11) ITpro セキュリティ, http://itpro.nikkeibp.co.jp/security/

12) CERT Advisory CA-2002-03, "Multiple Vulnerabilities in Many Implementations of the Simple Network

Management Protocol (SNMP)" (Feb. 2002),

http://www.cert.org/advisories/CA-2002-03.html 13) HIRT-PUB14008: サイバーセキュリティ情報交換 フレームワーク CYBEX, http://www.hitachi.co.jp/hirt/publications/hirt-pub14008/index.html 14) マルウェア対策研究人材育成ワークショップ, http://www.iwsec.org/mws/2015/

15) NTT-CERT (NTT Computer Security Incident Response and Readiness Coordination Team),

http://www.ntt-cert.org/

16) HIRT-PUB10008： 日立グループにおける製品脆弱 性情報の開示プロセス (Sep. 2010),

http://www.hitachi.co.jp/hirt/publications/hirt-pub10008/index.html

17) (ISC)2, _{Information Security Leadership Achievements}

(ISLA)プログラム, https://www.isc2.org/japan/isla.html

18) CSIRT ワークショップ 2012,

http://www.hitachi.co.jp/hirt/topics/20120229.html

19) Kyoto 2012 FIRST Technical Colloquium,

http://www.first.org/events/colloquia/kyoto2012

20) 日本シーサート協議会, インシデント対応まとめ サイト, http://www.nca.gr.jp/2010/incidentresponse.html

21) SGU MIT Workshop Academy CERT Meeting (Jul. 2010), http://academy-cert-indonesia.blogspot.jp/2010/06/academy-cert-meeting.h tml 22) HIRT-PUB11003: P2P ファイル交換ソフト環境で流 通するマルウェア (2011 年)(Sep. 2011), http://www.hitachi.co.jp/hirt/publications/hirt-pub11003/index.html 23) HIRT-PUB09008: 2009 年ファイル交換ソフトによ る情報漏えいに関する調査結果 (Dec. 2009), http://www.hitachi.co.jp/hirt/publications/hirt-pub09008/index.html

24) cNotes: Current Status Notes,

http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi

25) (独)情報処理推進機構, DNS キャッシュポイズニン グ対策 (Feb. 2009),

https://www.ipa.go.jp/security/vuln/DNS_security.html

26) Joint Workshop on Security 2008, Tokyo 開催記録サ イト (Mar. 2008), http://www.nca.gr.jp/jws2008/index.html 27) 情報化月間 2008-平成 20 年度情報化促進貢献企業 等表彰 (Oct. 2008), http://www.meti.go.jp/policy/it_policy/gekkan/#gekkan_kako 28) (一社)情報処理学会, 情報処理: マルウェア: 5. コ ラム：標的型メールがやってきた (May. 2010), https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=69232&file_i d=1 29) 日本シーサート協議会, http://www.nca.gr.jp/

30) WARP (Warning, Advice and Reporting Point),

http://www.warp.gov.uk/

31) GlobalSign Adobe Certified Document Services,

https://jp.globalsign.com/solution/example/hitachi.html

32) FIRST (Forum of Incident Response and Security Teams), http://www.first.org/ 33) 経済産業省告示第 235 号, ソフトウェア等脆弱性 関連情報取扱基準 (Jul. 2004), http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html 34)(独) 情報処理推進機構, 情報セキュリティ早期警 戒パートナーシップガイドライン (Jul. 2004), https://www.ipa.go.jp/security/ciadr/partnership_guide.html

35) JVN (Japan Vulnerability Notes), http://jvn.jp/

36) NISCC, NISCC Vulnerability Advisory 006489/H323: Vulnerability Issues in Implementations of the H.323 Protocol (Jan. 2004), http://www.kb.cert.org/vuls/id/JSHA-5V6H7S

37) CERT/CC Vulnerability Disclosure Policy,

http://www.cert.org/kb/vul_disclosure.html

38) US-CERT, Vulnerability Note VU#459371: "Multiple IPsec implementations do not adequately validate

authentication data" (Oct. 2002),

http://www.kb.cert.org/vuls/id/459371

39) JPCERT/CC Vendor Status Notes DB 構築に関する検 討, CSS2002 (Oct. 2002),

http://www8.cao.go.jp/cstp/project/export/ITPT-B/ITPT1/shiryo.1-6.pdf

40) セキュリティ情報流通を支援する JVN の構築 (May. 2005), http://www.hitachi.co.jp/hirt/csirt/jvn/index.html

41) CERT/CC Vulnerability Notes Database,

http://www.kb.cert.org/vuls

42) CERT/CC Vulnerability Note Field Descriptions,

http://www.kb.cert.org/vuls/html/fieldhelp

43) CVE (Common Vulnerabilities and Exposures),

http://cve.mitre.org/

44) ICAT, http://icat.nist.gov/ (not available)

45) CVSS (Common Vulnerability Scoring System),

http://www.first.org/cvss/ 46) DEFCON, http://www.defcon.org/ 執筆者 寺田真敏(てらだ まさと) 1998 年に HIRT の活動を立ち上げて以降，2002 年に JVN (http://jvn.jp/) の前身となる研究サイト (http://jvn.doi.ics.keio.ac.jp/) の立ち上げ， 2005 年には HIRT の窓口として CSIRT の国際団体である FIRST への 加盟など対外的な CSIRT 活動を推進．現在，JPCERT コーディネーシ ョンセンター専門委員， (独) 情報処理推進機構研究員，テレコム・ アイザック推進会議運営委員，日本シーサート協議会の運営委員長を 務める．